Skip to main content
Alle Cloud-Provider
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Alle Cloud-Provider
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Nutzung von vom Kunden gemanagten Schlüsseln mit Cloud Volumes ONTAP

Beitragende

Während Google Cloud Storage Ihre Daten immer verschlüsselt, bevor sie auf die Festplatte geschrieben werden, können Sie mithilfe der BlueXP API ein Cloud Volumes ONTAP-System erstellen, das vom Kunden verwaltete Verschlüsselungsschlüssel verwendet. Diese Schlüssel werden in GCP mithilfe des Cloud Key Management Service generiert und gemanagt.

Schritte

  1. Stellen Sie sicher, dass das Servicekonto BlueXP Connector im Projekt, in dem der Schlüssel gespeichert ist, über die entsprechenden Berechtigungen auf Projektebene verfügt.

    Die Berechtigungen werden im bereitgestellt "Standardmäßig sind die Berechtigungen für das Connector-Dienstkonto festgelegt", Kann aber nicht angewendet werden, wenn Sie ein alternatives Projekt für den Cloud Key Management Service verwenden.

    Folgende Berechtigungen stehen zur Auswahl:

    - cloudkms.cryptoKeyVersions.useToEncrypt
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.keyRings.list

  2. Stellen Sie sicher, dass das Servicekonto für das "Google Compute Engine Service Agent" Hat Cloud KMS-Verschlüsselung/Dekrypter-Berechtigungen auf dem Schlüssel.

    Der Name des Dienstkontos verwendet das folgende Format: "Service-[Service_project_number]@compute-system.iam.gserviceaccount.com".

    "Google Cloud Documentation: IAM mit Cloud KMS nutzen - Rollenverteilung auf einer Ressource"

  3. Rufen Sie die „id“ des Schlüssels ab, indem Sie den Befehl get für das aufrufen /gcp/vsa/metadata/gcp-encryption-keys API-Anruf oder durch Auswahl des „Copy Resource Name“ auf dem Schlüssel in der GCP-Konsole.

  4. Wenn Sie vom Kunden verwaltete Schlüssel und Tiering-Daten in Objekt-Storage verwenden, versucht BlueXP, dieselben Schlüssel zu verwenden, die zur Verschlüsselung der persistenten Festplatten verwendet werden. Zunächst müssen Sie Google Cloud Storage Buckets aktivieren, um die Schlüssel zu verwenden:

    1. Suchen Sie den Google Cloud Storage Service Agent, indem Sie den folgenden folgen "Google Cloud Documentation: Die Bereitstellung des Cloud Storage-Service-Agenten".

    2. Navigieren Sie zum Verschlüsselungsschlüssel und weisen Sie den Google Cloud Storage Service Agent mit Cloud KMS Verschlüsselungs-/Dekrypter-Berechtigungen zu.

    Weitere Informationen finden Sie unter "Google Cloud Documentation: Nutzung von vom Kunden gemanagten Verschlüsselungsschlüsseln"

  5. Verwenden Sie bei der Erstellung einer Arbeitsumgebung den Parameter „GcpEncryption“ in Verbindung mit Ihrer API-Anforderung.

    Beispiel

    "gcpEncryptionParameters": {
    "key": "projects/project-1/locations/us-east4/keyRings/keyring-1/cryptoKeys/generatedkey1"
  }

Siehe "BlueXP Automation Dokumentation" Weitere Informationen zur Verwendung des Parameters „GcpEncryption“.